# Gateways NAT
<a name="vpc-nat-gateway"></a>

Una gateway NAT es un servicio de traducción de direcciones de red (NAT). Puede utilizar una puerta de enlace NAT para que las instancias de una subred privada puedan conectarse a servicios fuera de la VPC, pero los servicios externos no pueden iniciar una conexión con esas instancias.

Cuando se crea una gateway NAT, se especifica uno de los siguientes tipos de conectividad:
+ **Pública** (predeterminado): las instancias de subredes privadas pueden conectarse a Internet a través de una puerta de enlace NAT pública, pero no pueden recibir conexiones entrantes no solicitadas de Internet. Crea una puerta de enlace de NAT pública en una subred pública y debe asociar una dirección IP elástica a la puerta de enlace NAT en el momento de la creación. El tráfico se dirige desde la gateway NAT a la gateway de Internet de la VPC. También puede utilizar una gateway NAT pública para conectarse a otras VPC o a la red en las instalaciones. En este caso, el tráfico se dirige desde la gateway NAT a través de una gateway de tránsito o una gateway privada virtual.
+ **Privada**: las instancias de subredes privadas pueden conectarse a otras VPC o a la red en las instalaciones a través de una puerta de enlace NAT privada, pero las instancias no pueden recibir conexiones entrantes no solicitadas de las otras VPC ni de la red en las instalaciones. El tráfico se dirige desde la gateway NAT a través de una gateway de tránsito o una gateway privada virtual. No puede asociar una dirección IP elástica a una puerta de enlace de NAT privada. Puede adjuntar una gateway de Internet a una VPC con una gateway NAT privada, pero si dirige el tráfico desde la gateway NAT privada a la gateway de Internet, esta última reduce el tráfico.

La puerta de enlace NAT se utiliza para el tráfico IPv4 e IPv6 (con [DNS64 y NAT64](nat-gateway-nat64-dns64.md)). Otra opción para iniciar comunicaciones de solo salida a Internet mediante IPv6, utilizar una [puerta de enlace de Internet de solo salida](egress-only-internet-gateway.md).

Tanto las puertas de enlace NAT privadas como las públicas asignan la dirección IPv4 privada de origen de las instancias a la dirección IPv4 privada de la puerta de enlace NAT, pero en el caso de una puerta de enlace NAT pública, la puerta de enlace de Internet asigna la dirección IPv4 privada de la puerta de enlace NAT pública a la dirección IP elástica asociada a la puerta de enlace NAT. Cuando envía tráfico de respuesta a las instancias, ya sea una puerta de enlace NAT pública o privada, la puerta de enlace NAT traduce la dirección a la dirección IP de origen. 

**Consideraciones**
+ Las conexiones siempre se deben iniciar desde la VPC que contiene la puerta de enlace de NAT.
+ Puede utilizar una puerta de enlace NAT pública o privada para enrutar el tráfico a puertas de enlace de tránsito y puertas de enlace privadas virtuales.
+ Si utiliza una puerta de enlace NAT privada para conectarse a una puerta de enlace de tránsito o a una puerta de enlace privada virtual, el tráfico hacia el destino procederá de la dirección IP privada de la puerta de enlace NAT privada.
+ Si utiliza una puerta de enlace NAT pública para conectarse a una puerta de enlace de tránsito o a una puerta de enlace privada virtual, el tráfico hacia el destino procederá de la dirección IP privada de la puerta de enlace NAT pública. La puerta de enlace de NAT pública solo usa su dirección IP elástica como dirección IP de origen cuando se utiliza junto con una puerta de enlace de Internet en la misma VPC.

**Topics**
+ [Conceptos básicos de la gateway NAT](nat-gateway-basics.md)
+ [Trabajar con gateways NAT](nat-gateway-working-with.md)
+ [Puertas de enlace NAT regionales para la expansión automática en varias zonas de disponibilidad](nat-gateways-regional.md)
+ [Casos de uso](nat-gateway-scenarios.md)
+ [DNS64 y NAT64](nat-gateway-nat64-dns64.md)
+ [Inspección del tráfico proveniente de las puertas de enlace NAT](nat-gateway-inspect-traffic.md)
+ [Métricas de CloudWatch](vpc-nat-gateway-cloudwatch.md)
+ [Solución de problemas](nat-gateway-troubleshooting.md)
+ [Precios](nat-gateway-pricing.md)

# Conceptos básicos de la gateway NAT
<a name="nat-gateway-basics"></a>

Cada gateway NAT se crea en una zona de disponibilidad específica, y se implementa con redundancia en dicha zona. Hay una cuota establecida en la cantidad de gateways NAT que puede crear en cada zona de disponibilidad. Para obtener más información, consulte [Puertas de enlace](amazon-vpc-limits.md#vpc-limits-gateways).

Si tiene recursos en varias zonas de disponibilidad que comparten una gateway NAT y la zona de disponibilidad de la gateway NAT no funciona, los recursos de las demás zonas de disponibilidad perderán el acceso a Internet. Para mejorar la resiliencia, puede crear una puerta de enlace NAT en cada zona de disponibilidad y configurar el direccionamiento para asegurarse de que los recursos utilicen la puerta de enlace NAT en la misma zona de disponibilidad.

Las siguientes características y reglas se aplican a las gateways NAT:
+ Una gateway NAT admite los siguientes protocolos: TCP, UDP e ICMP.
+ Las gateways NAT son compatibles con el tráfico IPv4 o IPv6. Para el tráfico IPv6, la gateway NAT ejecuta NAT64. Al utilizarla en combinación con DNS64 (disponible en Route 53 Resolver), las cargas de trabajo de IPv6 de una subred de Amazon VPC pueden comunicarse con los recursos de IPv4. Estos servicios IPv4 pueden existir en la misma VPC (en una subred independiente) o en una VPC diferente, en su entorno en las instalaciones o en Internet.
+ Las puertas de enlace NAT admiten 5 Gbps de ancho de banda y se amplían automáticamente hasta 100 Gbps. Si necesita más ancho de banda, puede dividir los recursos en varias subredes y crear una gateway NAT en cada subred.
+ Una puerta de enlace NAT puede procesar un millón de paquetes por segundo y escalar automáticamente hasta diez millones de paquetes por segundo. Más allá de este límite, una gateway NAT descartará paquetes. Para evitar la pérdida de paquetes, divida los recursos en varias subredes y cree una gateway NAT independiente para cada subred.
+ Cada dirección IPv4 puede admitir hasta 55 000 conexiones simultáneas a cada destino único. Un destino único se identifica mediante una combinación única de dirección IP de destino, puerto de destino y protocolo (TCP/UDP/ICMP). Puede aumentar este límite si asocia hasta ocho direcciones IPv4 a sus puertas de enlace NAT (una dirección IPv4 principal y siete direcciones IPv4 secundarias). De forma predeterminada, está limitado a asociar 2 direcciones IP elásticas a su puerta de enlace de NAT pública. Puede aumentar este límite si solicita un ajuste de cuota. Para obtener más información, consulte [Direcciones IP elásticas](amazon-vpc-limits.md#vpc-limits-eips).
+ Cuando crea una puerta de enlace de NAT, puede seleccionar la dirección IPv4 privada principal que desea asignar a la puerta de enlace NAT. De lo contrario, seleccionaremos una en su nombre a partir del rango de direcciones IPv4 de la subred. No es posible cambiar ni eliminar la dirección IPv4 privada principal. Puede agregar direcciones IPv4 privadas secundarias según sea necesario.
+ No puede asociar un grupo de seguridad a una puerta de enlace NAT. Puede asociar grupos de seguridad a las instancias para controlar su tráfico entrante y saliente.
+ Se crea una interfaz de red administrada por el solicitante para la puerta de enlace de NAT. Puede ver esta interfaz de red mediante la consola de Amazon EC2. Busque el ID de la puerta de enlace de NAT en la descripción. Puede agregar etiquetas a la interfaz de red, pero no puede modificar otras propiedades de esta interfaz de red.
+ Puede usar una ACL de red para controlar el tráfico hacia la subred y procedente de esta en su gateway NAT. Las gateways NAT utilizan los puertos 1024-65535. Para obtener más información, consulte [ACL de red](vpc-network-acls.md).
+ No se puede dirigir el tráfico a una puerta de enlace NAT mediante una conexión de emparejamiento de VPC. Sin embargo, el tráfico desde una puerta de enlace de NAT a través de la interconexión de VPC hacia destinos en VPC interconectadas admite el comportamiento “Devolución al remitente”: el tráfico de retorno se dirige automáticamente a la puerta de enlace de NAT de origen, incluso si no hay rutas de retorno configuradas en la VPC de destino. Este comportamiento es exclusivo de las puertas de enlace NAT y no se aplica a las instancias de EC2 estándar. Para evitar esto, use las NACL para bloquear el tráfico de retorno.

  No admitido:

  ```
  Client → Peering → NAT → Internet
  ```

  Compatible:

  ```
  Client → NAT → Peering → Destination
  ```
+ No se puede dirigir el tráfico a una puerta de enlace NAT desde Site-to-Site VPN ni Direct Connect mediante una puerta de enlace privada virtual. Puede dirigir el tráfico a una puerta de enlace NAT desde Site-to-Site VPN o Direct Connect si utiliza una puerta de enlace de tránsito en lugar de una puerta de enlace privada virtual.
+ Las puertas de enlace NAT admiten tráfico con una unidad de transmisión (MTU) máxima de 8500, pero es importante tener en cuenta lo siguiente: 
  + La unidad de transmisión máxima (MTU) de una conexión de red es el tamaño, en bytes, del mayor paquete permitido que se puede transferir a través de la conexión. Cuanto mayor sea la MTU de una conexión, mayor cantidad de datos se podrán transferir en un solo paquete.
  + Los paquetes con un tamaño superior a 8500 bytes que llegan a la puerta de enlace de NAT se descartan (o se fragmentan, si corresponde).
  + Para evitar la posible pérdida de paquetes al comunicarse con los recursos a través de Internet mediante una puerta de enlace NAT pública, la configuración de MTU de las instancias EC2 no debe superar los 1500 bytes. Para obtener más información sobre cómo comprobar y configurar la MTU en una instancia, consulte [MTU de red para la instancia de EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/network_mtu.html#set_mtu) en la *Guía del usuario de Amazon EC2*.
  + Las puertas de enlace NAT admiten Path MTU Discovery (PMTUD) mediante paquetes ICMPv4 FRAG\$1NEEDED y paquetes ICMPv6 Packet Too Big (PTB). 
  + Las puertas de enlace NAT aplican el bloqueo de tamaño máximo del segmento (MSS) a todos los paquetes. Para obtener más información, consulte [RFC879](https://datatracker.ietf.org/doc/html/rfc879). 

# Trabajar con gateways NAT
<a name="nat-gateway-working-with"></a>

Puede utilizar la consola de Amazon VPC para crear y administrar sus gateways NAT.

**Topics**
+ [Controlar el uso de gateways NAT](#nat-gateway-iam)
+ [Creación de una gateway NAT](#nat-gateway-creating)
+ [Edición de asociaciones de direcciones IP secundarias](#nat-gateway-edit-secondary)
+ [Etiquetar una gateway NAT](#nat-gateway-tagging)
+ [Eliminación de una gateway NAT](#nat-gateway-deleting)
+ [Descripción general de la línea de comandos](#nat-gateway-api-cli)

## Controlar el uso de gateways NAT
<a name="nat-gateway-iam"></a>

De forma predeterminada, los usuarios de no tienen permiso para trabajar con gateways NAT. Puede crear un rol de IAM con una política asociada que conceda permisos a los usuarios para crear, describir y eliminar puertas de enlace NAT. Para obtener más información, consulte [Identity and Access Management para Amazon VPC](security-iam.md).

## Creación de una gateway NAT
<a name="nat-gateway-creating"></a>

Utilice el siguiente procedimiento para crear una puerta de enlace NAT.

**Cuotas relacionadas**
+ No podrá crear una puerta de enlace de NAT pública si ha agotado la cantidad de direcciones IP elásticas asignadas a la cuenta. Para obtener más información, consulte [Direcciones IP elásticas](amazon-vpc-limits.md#vpc-limits-eips).
+ Puede asignar hasta ocho direcciones IPv4 privadas a la puerta de enlace de NAT privada. Este límite no se puede ajustar.
+ De forma predeterminada, está limitado a asociar 2 direcciones IP elásticas a su puerta de enlace de NAT pública. Puede aumentar este límite si solicita un ajuste de cuota. Para obtener más información, consulte [Direcciones IP elásticas](amazon-vpc-limits.md#vpc-limits-eips).

**Para crear una gateway NAT**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Puertas de enlace de NAT**.

1. Elija **Crear una puerta de enlace de NAT**.

1. (Opcional) Especifique un nombre para la gateway NAT. Esto crea una etiqueta en la que la clave es **Name** y el valor es el nombre que especifique.

1. Seleccione la subred en la que crear la gateway NAT.

1. En **Tipo de conectividad**, seleccione **Pública** para crear una puerta de enlace de NAT pública o **Privada** para crear una puerta de enlace de NAT privada. Para obtener más información acerca de la diferencia entre una puerta de enlace de NAT pública y privada, consulte [Gateways NAT](vpc-nat-gateway.md).

1. Si eligió **Public** (Pública), haga lo que se indica a continuación. Si no eligió esta opción, diríjase al paso 8:

   1. Elija un **ID de asignación de IP elástica** para asignar una dirección IP elástica a la puerta de enlace de NAT, o elija **Asignar IP elástica** para asignar una automáticamente a la puerta de enlace NAT pública. De forma predeterminada, está limitado a asociar 2 direcciones IP elásticas a su puerta de enlace de NAT pública. Puede aumentar este límite si solicita un ajuste de cuota. Para obtener más información, consulte [Direcciones IP elásticas](amazon-vpc-limits.md#vpc-limits-eips).
**importante**  
Cuando asigne una dirección IP elástica a una puerta de enlace de NAT pública, el grupo de borde de red de la IP elástica debe coincidir con el grupo de borde de red de la zona de disponibilidad (AZ) en la que va a crear la puerta de enlace NAT pública. Si no coinciden, la puerta de enlace NAT no se podrá iniciar. Para ver el grupo de bordes de red de la zona de disponibilidad de la subred, consulte los detalles de la subred. Del mismo modo, puede ver el grupo de bordes de red de una EIP si consulta los detalles de la dirección de la EIP. Para obtener más información, consulte [1. Asignar una dirección IP elástica](WorkWithEIPs.md#allocate-eip). 

   1. (Opcional) Elija **Configuración adicional** y, en **Dirección IP privada: opcional**, ingrese una dirección IPv4 privada para la puerta de enlace de NAT. Si no ingresa ninguna dirección, AWS asignará automáticamente una dirección IPv4 privada a su puerta de enlace de NAT de forma aleatoria desde la subred en la que se encuentra la puerta de enlace de NAT.

   1. Vaya al paso 11.

1. Si eligió **Privada**, diríjase a **Configuración adicional**, luego a **Método de asignación de direcciones IPv4 privadas** y elija una de las siguientes opciones:
   + **Asignación automática**: AWS elige la dirección IPv4 privada principal para la puerta de enlace de NAT. En **Cantidad de direcciones IPv4 privadas asignadas de manera automática**, puede especificar la cantidad de direcciones IPv4 privadas secundarias para la puerta de enlace de NAT. AWS elige estas direcciones IP de forma aleatoria de la subred para la puerta de enlace de NAT.
   + **Personalizada**: en **Dirección IPv4 privada principal**, elija la dirección IPv4 privada principal para la puerta de enlace de NAT. En **Direcciones IPv4 privadas secundarias**, puede especificar hasta 7 direcciones IPv4 privadas secundarias para la puerta de enlace de NAT.

1. Si ha elegido **Personalizado** en el paso 8, omita este paso. Si ha elegido **Asignación automática**, en **Número de direcciones IP privadas asignadas automáticamente**, elija la cantidad de direcciones IPv4 secundarias que desea que AWS asigne a esta puerta de enlace de NAT privada. Puede elegir hasta 7 direcciones IPv4.
**nota**  
Las direcciones IPv4 secundarias son opcionales y deben asignarse cuando las cargas de trabajo que utilizan una puerta de enlace NAT superen las 55 000 conexiones simultáneas a un único destino (la misma IP de destino, puerto de destino y protocolo). Las direcciones IPv4 secundarias aumentan la cantidad de puertos disponibles y, por lo tanto, aumentan el límite de conexiones simultáneas que las cargas de trabajo pueden establecer mediante una puerta de enlace NAT.

1. Si ha elegido **Asignación automática** en el paso 9, omita este paso. Si ha elegido **Personalizado**, proceda de la siguiente manera:

   1. En **Dirección IPv4 privada principal**, ingrese la dirección IPv4 privada.

   1. En **Dirección IPv4 privada secundaria**, ingrese hasta 7 direcciones IPv4 privadas secundarias.

1. (Opcional) Para agregar una etiqueta a la puerta de enlace NAT, elija **Add new tag** (Agregar etiqueta nueva) e ingrese la clave y el valor de la etiqueta. Puede añadir hasta 50 etiquetas.

1. Elija **Crear una puerta de enlace de NAT**.

1. El estado inicial de la gateway NAT es `Pending`. Una vez que el estado cambia a `Available`, la gateway NAT está lista para su uso. Asegúrese de actualizar las tablas de enrutamiento según sea necesario. Para ver ejemplos, consulte [Casos de uso de puerta de enlace NAT](nat-gateway-scenarios.md).

Si el estado de la gateway NAT cambia a `Failed`, es que ha habido un error durante la creación. Para obtener más información, consulte [La creación de la gateway NAT produce un error](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-failed).

## Edición de asociaciones de direcciones IP secundarias
<a name="nat-gateway-edit-secondary"></a>

Cada dirección IPv4 puede admitir hasta 55 000 conexiones simultáneas a cada destino único. Un destino único se identifica mediante una combinación única de dirección IP de destino, puerto de destino y protocolo (TCP/UDP/ICMP). Puede aumentar este límite si asocia hasta ocho direcciones IPv4 a sus puertas de enlace NAT (una dirección IPv4 principal y siete direcciones IPv4 secundarias). De forma predeterminada, está limitado a asociar 2 direcciones IP elásticas a su puerta de enlace de NAT pública. Puede aumentar este límite si solicita un ajuste de cuota. Para obtener más información, consulte [Direcciones IP elásticas](amazon-vpc-limits.md#vpc-limits-eips).

Puede utilizar las [métricas de la puerta de enlace de NAT de CloudWatch](metrics-dimensions-nat-gateway.md) *ErrorPortAllocation* y *PacketsDropCount* para determinar si su puerta de enlace de NAT genera errores de asignación de puertos o descarta paquetes. Para resolver este problema, agregue direcciones IPv4 secundarias a su puerta de enlace de NAT.

**Consideraciones**
+ Puede agregar direcciones IPv4 privadas secundarias al crear una puerta de enlace de NAT privada o después de crear la puerta de enlace de NAT mediante el procedimiento de esta sección. Solo puede agregar direcciones IP elásticas a las puertas de enlace de NAT públicas después de crear la puerta de enlace de NAT, mediante el procedimiento descrito en esta sección. 
+ Su puerta de enlace de NAT puede tener hasta 8 direcciones IPv4 asociadas (1 dirección IPv4 principal y 7 direcciones IPv4 secundarias). Puede asignar hasta ocho direcciones IPv4 privadas a la puerta de enlace de NAT privada. De forma predeterminada, está limitado a asociar 2 direcciones IP elásticas a su puerta de enlace de NAT pública. Puede aumentar este límite si solicita un ajuste de cuota. Para obtener más información, consulte [Direcciones IP elásticas](amazon-vpc-limits.md#vpc-limits-eips).

**Edición de asociaciones de direcciones IPv4 secundarias**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Puertas de enlace de NAT**.

1. Seleccione la puerta de enlace de NAT cuyas asociaciones de direcciones IPv4 secundarias desee editar.

1. Elija **Acciones** y, a continuación, elija **Editar asociaciones de direcciones IP secundarias**.

1. Si está editando las asociaciones de direcciones IPv4 secundarias de una puerta de enlace de NAT privada, en **Acción**, elija **Asignar nuevas direcciones IPv4** o **Anular asignación de direcciones IPv4 existentes**. Si está editando las asociaciones de direcciones IPv4 secundarias de una puerta de enlace de NAT pública, en **Acción**, elija **Asociar nuevas direcciones IPv4** o **Desasociar direcciones IPv4 existentes**.

1. Realice una de las siguientes acciones:
   + Si ha elegido asignar o asociar direcciones IPv4 nuevas, haga lo siguiente:

     1. Este paso es necesario. Debe seleccionar una dirección IPv4 privada. Elija el **Método de asignación de direcciones IPv4 privadas**:
        + **Asignación automática**: AWS elige automáticamente una dirección IPv4 privada principal y usted elige si desea que AWS asigne hasta 7 direcciones IPv4 privadas secundarias para asignarlas a la puerta de enlace de NAT. AWS las elige y las asigna automáticamente de forma aleatoria desde la subred en la que se encuentra la puerta de enlace de NAT.
        + **Personalizado**: elija la dirección IPv4 privada principal y hasta 7 direcciones IPv4 privadas secundarias para asignarlas a la puerta de enlace de NAT.

     1. En **ID de asignación de IP elástica**, elija una dirección IP elástica para agregar con una dirección IPv4 secundaria. Este paso es necesario. Debe seleccionar una dirección IP elástica junto con una dirección IPv4 privada. Si eligió **Personalizado** como **método de asignación de dirección IP privada**, también debe ingresar una dirección IPv4 privada para cada dirección IP elástica que agregue.
**importante**  
Al asignar una EIP secundaria a una puerta de enlace NAT pública, el grupo de bordes de red de la EIP debe coincidir con el grupo de bordes de red de la zona de disponibilidad (AZ) en la que se encuentra la puerta de enlace NAT pública. Si no coinciden, no se podrá asignar la EIP. Para ver el grupo de bordes de red de la zona de disponibilidad de la subred, consulte los detalles de la subred. Del mismo modo, puede ver el grupo de bordes de red de una EIP si consulta los detalles de la dirección de la EIP. Para obtener más información, consulte [1. Asignar una dirección IP elástica](WorkWithEIPs.md#allocate-eip). 

     Su puerta de enlace de NAT puede tener hasta 8 direcciones IP asociadas. Si se trata de una puerta de enlace de NAT pública, existe un límite de cuota predeterminado para las direcciones IP elásticas por región. Para obtener más información, consulte [Direcciones IP elásticas](amazon-vpc-limits.md#vpc-limits-eips).
   + Si ha elegido desasociar o anular la asignación de nuevas direcciones IPv4, realice lo siguiente:

     1. En **Dirección IP secundaria existente para anular asignación**, seleccione las direcciones IP secundarias que desee anular.

     1. (opcional) En **Duración del drenaje de conexiones**, ingrese el tiempo máximo de espera (en segundos) antes de forzar la liberación de las direcciones IP si las conexiones siguen en curso. Si no ingresa un valor, el valor predeterminado es de 350 segundos.

1. Seleccione **Save changes (Guardar cambios)**.

Si el estado de la gateway NAT cambia a `Failed`, es que ha habido un error durante la creación. Para obtener más información, consulte [La creación de la gateway NAT produce un error](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-failed).

## Etiquetar una gateway NAT
<a name="nat-gateway-tagging"></a>

Puede etiquetar la gateway NAT como ayuda para identificarla o clasificarla según las necesidades de su organización. Para obtener información sobre cómo trabajar con etiquetas, consulte [Etiquetado de los recursos de Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html) en la *Guía del usuario de Amazon EC2*.

Las etiquetas de asignación de costos son compatibles con las gateways NAT. Por lo tanto, también puede utilizar etiquetas para organizar su factura de AWS y reflejar su propia estructura de costos. Para obtener más información, consulte [Uso de etiquetas de asignación de costos](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html) en la *Guía del usuario de AWS Billing*. Para obtener más información acerca de la configuración de un informe de asignación de costos con etiquetas, consulte [Informe de asignación de costos mensual](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/configurecostallocreport.html) en la sección de *Facturación de cuentas de AWS*. 

**Para etiquetar una puerta de enlace de NAT**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Puertas de enlace de NAT**.

1. Seleccione la puerta de enlace de NAT que desee etiquetar y elija **Acciones**. A continuación, elija **Administrar etiquetas**.

1. Elija **Agregar nueva etiqueta** y defina una **Clave** y un **Valor** para la etiqueta. Puede añadir hasta 50 etiquetas.

1. Seleccione **Save**.

## Eliminación de una gateway NAT
<a name="nat-gateway-deleting"></a>

Si ya no necesita una gateway NAT, puede eliminarla. Una vez que se elimine la gateway NAT, la entrada permanece visible en la consola de Amazon VPC durante aproximadamente una hora, hasta que se elimine de forma automática. No puede eliminar esta entrada por sí mismo.

Al eliminar una gateway NAT, se desasocia su dirección IP elástica, pero no se libera la dirección de su cuenta. Si elimina una gateway NAT, sus rutas permanecerán con el estado `blackhole` hasta que las elimine o las actualice.

**Para eliminar una gateway NAT**

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Puertas de enlace de NAT**.

1. Seleccione el botón de opción de la gateway NAT y, a continuación, elija **Actions (Acciones)**, **Delete NAT gateway (Eliminar gateway NAT)**.

1. Cuando se le pida confirmación, ingrese **delete** y elija **Delete (Eliminar)**.

1. Si ya no necesita la dirección IP elástica asociada con la gateway NAT pública, es recomendable liberarla. Para obtener más información, consulte [5. Liberar una dirección IP elástica](WorkWithEIPs.md#release-eip).

## Descripción general de la línea de comandos
<a name="nat-gateway-api-cli"></a>

Puede utilizar la línea de comandos para realizar las tareas descritas en esta página.

**Asignación de una dirección IPv4 privada a una puerta de enlace de NAT privada**
+ [assign-private-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/assign-private-nat-gateway-address.html) (AWS CLI)
+ [Register-EC2PrivateNatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2PrivateNatGatewayAddress.html) (AWS Tools for Windows PowerShell)

**Asociación de direcciones IP elásticas y direcciones IPv4 privadas a una puerta de enlace de NAT pública**
+ [associate-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-nat-gateway-address.html) (AWS CLI)
+ [Register-EC2NatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2NatGatewayAddress.html) (AWS Tools for Windows PowerShell)

**Creación de una gateway NAT**
+ [create-nat-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-nat-gateway.html) (AWS CLI)
+ [New-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2NatGateway.html) (AWS Tools for Windows PowerShell)

**Eliminación de una gateway NAT**
+ [delete-nat-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-nat-gateway.html) (AWS CLI)
+ [Remove-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Remove-EC2NatGateway.html) (AWS Tools for Windows PowerShell)

**Descripción de una gateway NAT**
+ [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html) (AWS CLI)
+ [Get-EC2NatGateway](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2NatGateway.html) (AWS Tools for Windows PowerShell)

**Desasociación de direcciones IP elásticas secundarias de una puerta de enlace de NAT pública**
+ [disassociate-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-nat-gateway-address.html) (AWS CLI)
+ [Unregister-EC2NatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2NatGatewayAddress.html) (AWS Tools for Windows PowerShell)

**Etiquetar una gateway NAT**
+ [create-tags](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-tags.html) (AWS CLI)
+ [New-EC2Tag](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Tag.html) (AWS Tools for Windows PowerShell)

**Anulación de asignación de direcciones IPv4 secundarias de una puerta de enlace de NAT privada**
+ [unassign-private-nat-gateway-address](https://docs.aws.amazon.com/cli/latest/reference/ec2/unassign-private-nat-gateway-address.html) (AWS CLI)
+ [Unregister-EC2PrivateNatGatewayAddress](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2PrivateNatGatewayAddress.html) (AWS Tools for Windows PowerShell)

# Puertas de enlace NAT regionales para la expansión automática en varias zonas de disponibilidad
<a name="nat-gateways-regional"></a>

Utilice puertas de enlace NAT regionales cuando desee simplificar la arquitectura de red, mejorar la postura de seguridad y configurar la alta disponibilidad de forma predeterminada. Una puerta de enlace NAT regional se expande automáticamente entre las zonas de disponibilidad en función de la presencia de las cargas de trabajo. A diferencia de las puertas de enlace NAT estándar (denominadas puertas de enlace NAT zonales), que funcionan en una sola zona de disponibilidad, las puertas de enlace NAT regionales siguen a las cargas de trabajo para proporcionar alta disponibilidad automática.

![\[alt text not found\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/rnat.drawio.png)


El diagrama A de la izquierda representa la configuración actual con una puerta de enlace NAT zonal. Primero crea puertas de enlace NAT zonales por zona de disponibilidad y aloja las puertas de enlace NAT en subredes públicas. A continuación, configura rutas independientes por zona de disponibilidad desde las subredes privadas hacia la puerta de enlace NAT de esa zona de disponibilidad. Este paso se repite cada vez que las cargas de trabajo se expanden a una nueva zona de disponibilidad, para lograr alta disponibilidad. Además, debe agregar rutas hacia la puerta de enlace de Internet en la tabla de enrutamiento de la subred de la puerta de enlace NAT para cada zona de disponibilidad.

Por otro lado, con una puerta de enlace NAT regional, no necesita crear una subred pública para alojarla. Tampoco tiene que crear ni eliminar puertas de enlace NAT ni editar las tablas de enrutamiento cada vez que las cargas de trabajo se expanden a nuevas zonas de disponibilidad. En su lugar, basta con crear una puerta de enlace NAT en modo regional, seleccionar la VPC, y esta se expande y se contrae automáticamente en todas las zonas de disponibilidad en función de la presencia de las cargas de trabajo, con el fin de ofrecer alta disponibilidad. Como se muestra en el diagrama B, puede enrutar el tráfico desde los recursos en una subred privada a través de todas las zonas de disponibilidad hacia este único ID de puerta de enlace NAT regional, o bien utilizar la misma tabla de enrutamiento en las subredes de la zona de disponibilidad para realizar la traducción de direcciones de red. Una vez que crea su puerta de enlace NAT regional, AWS crea automáticamente para esta una tabla de enrutamiento, que incluye una ruta preconfigurada hacia la puerta de enlace de Internet. Puede utilizar esta tabla de enrutamiento para agregar rutas de retorno hacia los dispositivos intermedios.



## Ventajas
<a name="benefits"></a>

Las puertas de enlace NAT regionales ofrecen las siguientes ventajas:
+ **Configuración simplificada**: utilice un único ID de NAT en todas las zonas de disponibilidad que tengan interfaces de red, de modo que pueda usar la misma entrada de ruta para subredes en distintas zonas de disponibilidad.
+ **Seguridad mejorada**: no se requieren subredes públicas. Una puerta de enlace NAT regional es un recurso independiente con su propia tabla de enrutamiento, y no se necesita una subred pública en la VPC para alojarla, lo que reduce las probabilidades de configurar incorrectamente recursos privados en subredes con conectividad pública.
+ **Alta disponibilidad automática**: se expande y se contrae automáticamente según la presencia de las cargas de trabajo para mantener la afinidad zonal, lo que proporciona alta disponibilidad de forma predeterminada.
+ **Límites superiores de puertos y direcciones IP**: las puertas de enlace NAT regionales admiten hasta 32 direcciones IP por zona de disponibilidad (en comparación con 8 en las puertas de enlace NAT zonales). Cada dirección IP aumenta en 55 000 el límite de conexiones simultáneas hacia un destino popular (identificado por una combinación única de dirección IP de destino, puerto de destino y protocolo).

## Cuándo usar puertas de enlace NAT regionales
<a name="when-to-use-regional-nat-gateways"></a>

Considere el uso de puertas de enlace NAT regionales para todos los casos de uso, excepto aquellos que requieran conectividad privada. Las puertas de enlace NAT regionales no ofrecen conectividad privada y se recomienda usar puertas de enlace NAT en modo de disponibilidad zonal para los casos de uso de NAT privado.

## Cómo funcionan las puertas de enlace NAT regionales
<a name="how-regional-nat-gateways-work"></a>

Cuando lanza recursos en una nueva zona de disponibilidad, la puerta de enlace NAT regional detecta la presencia de una interfaz de red (ENI) en esa zona de disponibilidad y se expande automáticamente hacia esa zona. De forma similar, la puerta de enlace NAT se contrae en la zona de disponibilidad que no tenga cargas de trabajo activas.

La expansión de la puerta de enlace NAT regional hacia una nueva zona de disponibilidad puede tardar hasta 60 minutos después de que se instancie un recurso en esta. Hasta que se complete esta expansión, el tráfico relevante de este recurso se procesa, con alcance en todas las zonas, por la puerta de enlace NAT regional en una de las zonas de disponibilidad existentes.

Las puertas de enlace NAT regionales admiten dos modos:
+ **Modo automático**: en este modo, AWS administra automáticamente las direcciones IP y la expansión de zonas de disponibilidad (recomendado). Si desea utilizar sus propias direcciones IP en este modo y usa Amazon VPC IPAM, consulte [Definición de la estrategia de asignación de IPv4 pública con las políticas de IPAM](https://docs.aws.amazon.com/ipam/define-public-ipv4-allocation-strategy-with-ipam-policies.xml) en la *Guía del usuario de Amazon VPC IPAM*.
+ **Modo manual**: en este modo, administra manualmente las direcciones IP y controla la traducción de direcciones de red para cada zona de disponibilidad. En el modo manual, es responsable de expandir y contraer la puerta de enlace NAT en las zonas de disponibilidad.

## Precios
<a name="pricing"></a>

Para obtener información sobre los precios, consulte [Precios de Amazon VPC](https://aws.amazon.com/vpc/pricing/).

## Creación de una puerta de enlace NAT regional
<a name="create-a-regional-nat-gateway"></a>

### Uso de la consola
<a name="using-the-console"></a>

1. Abra la consola de Amazon VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).

1. En el panel de navegación, elija **Puertas de enlace de NAT**.

1. Elija **Crear una puerta de enlace de NAT**.

1. En **Modo de disponibilidad**, seleccione **Regional**. No necesita especificar ninguna subred cuando selecciona la disponibilidad regional

1. Elija una VPC.

1. Complete la configuración restante y seleccione **Crear puerta de enlace NAT**.

### Uso de la CLI de AWS
<a name="using-the-aws-cli"></a>

Creación de una puerta de enlace NAT regional

```
aws ec2 create-nat-gateway --vpc-id vpc-12345678 --availability-mode regional
```

Ver detalles de la puerta de enlace NAT

```
aws ec2 describe-nat-gateways --nat-gateway-ids nat-12345678
```

Agregar direcciones IP (modo manual)

```
aws ec2 associate-nat-gateway-address --nat-gateway-id nat-12345678 --availability-zone us-east-1b --allocation-ids eipalloc-12345678
```

Eliminar direcciones IP

```
aws ec2 disassociate-nat-gateway-address --nat-gateway-id nat-12345678 --association-ids eipassoc-12345678
```

Eliminar una puerta de enlace NAT regional

```
aws ec2 delete-nat-gateway --nat-gateway-id nat-12345678
```

## Conversión de puertas de enlace NAT zonales a regionales
<a name="convert-from-zonal-to-regional-nat-gateways"></a>

**importante**  
Esto restablecerá las conexiones existentes. Se recomienda completar estos pasos durante el periodo de mantenimiento.

Puede convertir puertas de enlace NAT zonales existentes en una puerta de enlace NAT regional mediante uno de los dos enfoques siguientes:

**Si está de acuerdo con usar puertas de enlace NAT regionales con nuevas direcciones IP:**

1. Crear una nueva puerta de enlace NAT regional

1. Actualizar las tablas de enrutamiento para que apunten a la puerta de enlace NAT regional

1. Eliminar las puertas de enlace NAT zonales antiguas

Este enfoque utiliza nuevas direcciones IP y restablece las conexiones existentes cuando se actualizan las rutas.

**Si desea reutilizar direcciones IP existentes con puertas de enlace NAT regionales:**

1. Eliminar las puertas de enlace NAT zonales existentes para liberar sus direcciones IP

1. Crear una puerta de enlace NAT regional con las direcciones IP liberadas

1. Actualizar las tablas de enrutamiento para que apunten a la puerta de enlace NAT regional

Este enfoque conserva las direcciones IP, pero requiere un periodo de mantenimiento, ya que el tráfico se interrumpe durante la transición.

# Casos de uso de puerta de enlace NAT
<a name="nat-gateway-scenarios"></a>

Los siguientes son ejemplos de casos de uso de gateways NAT públicas y privadas.

**Topics**
+ [Acceso a Internet desde una subred privada](#public-nat-internet-access)
+ [Acceso a la red mediante las direcciones IP permitidas](#private-nat-allowed-range)
+ [Habilitar la comunicación entre redes superpuestas](#private-nat-overlapping-networks)

## Acceso a Internet desde una subred privada
<a name="public-nat-internet-access"></a>

Puede utilizar una puerta de enlace NAT pública para permitir que las instancias de una subred privada envíen tráfico de salida a Internet, además de evitar que Internet establezca conexiones a dichas instancias.

**Topics**
+ [Descripción general](#public-nat-gateway-overview)
+ [Enrutamiento](#public-nat-gateway-routing)
+ [Prueba de la gateway NAT pública](#public-nat-gateway-testing)

### Descripción general
<a name="public-nat-gateway-overview"></a>

El siguiente diagrama ilustra este caso de uso. Hay dos zonas de disponibilidad, con dos subredes en cada zona de disponibilidad. La tabla de enrutamiento de cada subred determina cómo se dirige el tráfico. En la zona de disponibilidad A, las instancias de la subred pública pueden conectarse a Internet a través de una ruta a la puerta de enlace de Internet, mientras que las instancias de la subred privada no tienen ruta a Internet. En la zona de disponibilidad B, la subred pública contiene una puerta de enlace NAT y las instancias de la subred privada pueden conectarse a Internet a través de una ruta a la puerta de enlace NAT de la subred pública. Tanto las puertas de enlace NAT privadas como las públicas asignan la dirección IPv4 privada de origen de las instancias a la dirección IPv4 privada de la puerta de enlace NAT privada, pero en el caso de una puerta de enlace NAT pública, la puerta de enlace de Internet asigna la dirección IPv4 privada de la puerta de enlace NAT pública a la dirección IP elástica asociada a la puerta de enlace NAT. Cuando envía tráfico de respuesta a las instancias, ya sea una puerta de enlace NAT pública o privada, la puerta de enlace NAT traduce la dirección a la dirección IP de origen.

![\[Una VPC con subredes públicas y privadas, una puerta de enlace NAT y una puerta de enlace de Internet.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/public-nat-gateway-diagram.png)


Tenga en cuenta que, si las instancias de la subred privada de la zona de disponibilidad A también necesitan acceder a Internet, puede crear una ruta desde esta subred hasta la puerta de enlace NAT en la zona de disponibilidad B. También, puede mejorar la resiliencia al crear una puerta de enlace NAT en cada zona de disponibilidad que contenga recursos que requieren acceso a Internet. Para ver un diagrama de ejemplo, consulte [Ejemplo: una VPC con servidores en subredes privadas y NAT](vpc-example-private-subnets-nat.md).

### Enrutamiento
<a name="public-nat-gateway-routing"></a>

La siguiente es la tabla de enrutamiento asociada a la subred pública en la zona de disponibilidad A. La primera entrada es la ruta local. Esta permite a las instancias de la subred comunicarse con otras instancias de la VPC mediante las direcciones IP privadas. La segunda entrada envía el resto del tráfico de la subred a la puerta de enlace de Internet, lo que permite a las instancias de la subred acceder a Internet.


| Destino | Objetivo | 
| --- | --- | 
| CIDR DE VPC | local | 
| 0.0.0.0/0 | internet-puerta de enlace -id | 

La siguiente es la tabla de enrutamiento asociada a la subred privada de la zona de disponibilidad A. La entrada es la ruta local que permite a las instancias de la subred comunicarse con otras instancias de la VPC mediante las direcciones IP privadas. Las instancias de esta subred no tienen acceso a Internet.


| Destino | Objetivo | 
| --- | --- | 
| CIDR DE VPC | local | 

La siguiente es la tabla de enrutamiento asociada a la subred pública en la zona de disponibilidad B. La primera entrada es la ruta local que permite a las instancias de la subred comunicarse con otras instancias de la VPC mediante las direcciones IP privadas. La segunda entrada envía el resto del tráfico de la subred a la puerta de enlace de Internet, lo que permite a la puerta de enlace de NAT de la subred acceder a Internet.


| Destino | Objetivo | 
| --- | --- | 
| CIDR DE VPC | local | 
| 0.0.0.0/0 | internet-puerta de enlace -id | 

La siguiente es la tabla de enrutamiento asociada a la subred privada en la zona de disponibilidad B. La primera entrada es la ruta local. Esta permite a las instancias de la subred comunicarse con otras instancias de la VPC mediante las direcciones IP privadas. La segunda entrada envía el resto del tráfico de subred a la gateway NAT.


| Destino | Objetivo | 
| --- | --- | 
| CIDR DE VPC | local | 
| 0.0.0.0/0 | nat-gateway-id | 

Para obtener más información, consulte [Administración de las tablas de enrutamiento de subred](WorkWithRouteTables.md).

### Prueba de la gateway NAT pública
<a name="public-nat-gateway-testing"></a>

Una vez que ha creado su gateway NAT y ha actualizado sus tablas de enrutamiento, puede hacer ping a direcciones remotas de Internet desde una instancia de su subred privada para comprobar si puede conectarse a Internet. Para ver un ejemplo práctico, consulte [Comprobación de la conexión a Internet](#nat-gateway-testing-example).

Si puede conectarse a Internet, también podrá probar si el tráfico de Internet se dirige a través de la gateway NAT:
+ Trace la ruta de tráfico desde una instancia de su subred privada. Para ello, ejecute el comando `traceroute` desde una instancia de Linux en su subred privada. En el resultado, debería ver la dirección IP privada de la gateway NAT en uno de los saltos (suele ser el primero).
+ Puede utilizar un sitio web o una herramienta de terceros que muestre la dirección IP de origen al conectarse desde una instancia de su subred privada. La dirección IP de origen debería ser la dirección IP elástica de la puerta de enlace de NAT. 

Si estas pruebas no son satisfactorias, consulte [Solucionar problemas de las gateways NAT](nat-gateway-troubleshooting.md).

#### Comprobación de la conexión a Internet
<a name="nat-gateway-testing-example"></a>

En el siguiente ejemplo se muestra cómo comprobar si una instancia en una subred privada se puede conectar a Internet.

1. Lance una instancia en su subred pública (la usará como host bastión). En el asistente de lanzamiento, asegúrese de seleccionar una AMI de Amazon Linux y de asignar una dirección IP pública a la instancia. Asegúrese de que las reglas de su grupo de seguridad admiten el tráfico SSH entrante del rango de direcciones IP de su red local y el tráfico SSH saliente al rango de direcciones IP de su subred privada (también puede utilizar `0.0.0.0/0` para el tráfico SSH tanto entrante como saliente en esta prueba).

1. Lance una instancia en su subred privada. En el asistente de lanzamiento, asegúrese de seleccionar una AMI de Amazon Linux. No asigne una dirección IP pública a su instancia. Asegúrese de que las reglas de su grupo de seguridad admiten el tráfico SSH entrante de la dirección IP privada de la instancia que lanzó en la subred pública, así como todo el tráfico ICMP saliente. Debe elegir el mismo par de claves que utilizó para lanzar su instancia en la subred pública.

1. Configure el reenvío de agentes SSH en su equipo local, y conéctese a su host bastión en la subred pública. Para obtener más información, consulte [Para configurar el reenvío de agentes SSH para Linux o macOS](#ssh-forwarding-linux) o [Para configurar el reenvío de agentes SSH para Windows](#ssh-forwarding-windows).

1. Desde el host bastión, conéctese a su instancia en la subred privada y, a continuación, compruebe la conexión a Internet desde su instancia en la subred privada. Para obtener más información, consulte [Para comprobar la conexión a Internet](#test-internet-connection).<a name="ssh-forwarding-linux"></a>

**Para configurar el reenvío de agentes SSH para Linux o macOS**

1. Desde su equipo local, añada su clave privada al agente de autenticación. 

   Para Linux, utilice el siguiente comando.

   ```
   ssh-add -c mykeypair.pem
   ```

   Para macOS, utilice el siguiente comando.

   ```
   ssh-add -K mykeypair.pem
   ```

1. Conéctese a su instancia en la subred pública utilizando la opción `-A` para habilitar el reenvío de agentes SSH y utilice la dirección pública de la instancia, como se muestra en el ejemplo siguiente.

   ```
   ssh -A ec2-user@54.0.0.123
   ```<a name="ssh-forwarding-windows"></a>

**Para configurar el reenvío de agentes SSH para Windows**  
Puede usar el cliente OpenSSH disponible en Windows o instalar el cliente SSH que prefiera (por ejemplo, PuTTY).

------
#### [ OpenSSH ]

Instale OpenSSH para Windows como se describe en este artículo: [Introducción a OpenSSH para Windows](https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_install_firstuse). A continuación, agregue su clave al agente de autenticación. Para obtener más información, consulte [Autenticación basada en claves en OpenSSH para Windows](https://learn.microsoft.com/en-us/windows-server/administration/openssh/openssh_keymanagement).

------
#### [ PuTTY ]

1. Descargue e instale Pageant desde la [página de descargas de PuTTY](https://www.chiark.greenend.org.uk/~sgtatham/putty/), si aún no lo tiene instalado.

1. Convierta su clave privada al formato .ppk. Para obtener más información, consulte [Conversión de la clave privada mediante PuTTYgen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html#putty-private-key) en la *Guía del usuario de Amazon EC2*.

1. Inicie Pageant, haga clic con el botón derecho en el icono de Pageant de la barra de tareas (puede estar oculto) y elija **Add Key**. Seleccione el archivo .ppk que ha creado, escriba la frase de contraseña si es necesario y elija **Open (Abrir)**.

1. Inicie una sesión de PuTTY y conéctese a su instancia en la subred pública utilizando su dirección IP pública. Para más información, consulte [Conectarse a su instancia Linux mediante PuTTY](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-from-windows.html). En la categoría **Auth**, asegúrese de seleccionar la opción **Allow agent forwarding** y deje el cuadro **Private key file for authentication** en blanco.

------<a name="test-internet-connection"></a>

**Para comprobar la conexión a Internet**

1. Desde su instancia en la subred pública, conéctese a su instancia en la subred privada utilizando su dirección IP privada, como se muestra en el ejemplo siguiente.

   ```
   ssh ec2-user@10.0.1.123
   ```

1. Desde su instancia privada, compruebe que puede conectarse a Internet ejecutando el comando `ping` para un sitio web que tenga ICMP habilitado.

   ```
   ping ietf.org
   ```

   ```
   PING ietf.org (4.31.198.44) 56(84) bytes of data.
   64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=1 ttl=47 time=86.0 ms
   64 bytes from mail.ietf.org (4.31.198.44): icmp_seq=2 ttl=47 time=75.6 ms
   ...
   ```

   Pulse **Ctrl\$1C** en su teclado para cancelar el comando `ping`. Si el comando `ping` da error, consulte [Las instancias no pueden obtener acceso a Internet](nat-gateway-troubleshooting.md#nat-gateway-troubleshooting-no-internet-connection).

1. (Opcional) Si ya no necesita las instancias, termínelas. Para obtener más información, consulte [Terminar una instancia](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html) en la *Guía del usuario de Amazon EC2*.

## Acceso a la red mediante las direcciones IP permitidas
<a name="private-nat-allowed-range"></a>

Puede utilizar una puerta de enlace NAT privada para habilitar la comunicación desde las VPC a su red en las instalaciones mediante un grupo de direcciones permitidas. En lugar de asignar a cada instancia una dirección IP independiente del rango de direcciones IP permitidas, puede dirigir el tráfico desde la subred destinada a la red en las instalaciones a través de una puerta de enlace NAT privada con una dirección IP del rango de direcciones IP permitidas.

**Topics**
+ [Descripción general](#private-nat-allowed-range-overview)
+ [Recursos](#private-nat-allowed-range-resources)
+ [Enrutamiento](#private-nat-allowed-range-routing)

### Descripción general
<a name="private-nat-allowed-range-overview"></a>

En el siguiente diagrama se muestra cómo las instancias pueden acceder a los recursos en las instalaciones mediante Site-to-Site VPN. El tráfico de las instancias se dirige a una puerta de enlace privada virtual, a través de la conexión VPN, a la puerta de enlace de cliente y, a continuación, al destino de las redes en las instalaciones. Sin embargo, supongamos que el destino permite tráfico solo desde un rango de direcciones IP específico, como 100.64.1.0/28. Esto evitaría que el tráfico de estas instancias llegue a la red en las instalaciones.

![\[Acceda a la red en las instalaciones mediante una conexión Site-to-Site VPN.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/allowed-range.png)


El siguiente diagrama muestra los componentes clave de la configuración de este escenario. La VPC tiene su rango de direcciones IP original más el rango de direcciones IP permitido. La VPC tiene una subred del rango de direcciones IP permitido con una puerta de enlace NAT privada. El tráfico de las instancias destinadas a la red en las instalaciones se envía a la puerta de enlace NAT antes de dirigirse a la conexión VPN. La red en las instalaciones recibe el tráfico de las instancias con la dirección IP de origen de la puerta de enlace NAT, que proviene del rango de direcciones IP permitido.

![\[Tráfico de subred de VPC enrutado a través de una puerta de enlace NAT privada\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/private-nat-allowed-range.png)


### Recursos
<a name="private-nat-allowed-range-resources"></a>

Cree o actualice recursos de la siguiente manera:
+ Asocie el rango de direcciones IP permitido a la VPC.
+ Cree una subred en la VPC a partir del rango de direcciones IP permitido.
+ Cree una puerta de enlace NAT privada en la nueva subred.
+ Actualice la tabla de enrutamiento de la subred con las instancias para enviar el tráfico destinado a la red en las instalaciones hacia la puerta de enlace NAT. Agregue una ruta a la tabla de enrutamiento de la subred con la puerta de enlace NAT privada que envía tráfico destinado a la red en las instalaciones hacia la puerta de enlace privada virtual.

### Enrutamiento
<a name="private-nat-allowed-range-routing"></a>

La siguiente es la tabla de enrutamiento principal asociada a la primera subred. Hay una ruta local para cada CIDR de VPC. Las rutas locales permiten a los recursos de la subred comunicarse con otros recursos de la VPC mediante direcciones IP privadas. La tercera entrada envía el tráfico destinado a la red en las instalaciones a la puerta de enlace NAT privada.


| Destino | Objetivo | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.1.0/24 | local | 
| 192.168.0.0/16 | nat-gateway-id | 

La siguiente es la tabla de enrutamiento principal asociada a la segunda subred. Hay una ruta local para cada CIDR de VPC. Las rutas locales permiten a los recursos de la subred comunicarse con otros recursos de la VPC mediante direcciones IP privadas. La tercera entrada envía el tráfico destinado a la red en las instalaciones a la puerta de enlace privada virtual.


| Destino | Objetivo | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.1.0/24 | local | 
| 192.168.0.0/16 | vgw-id | 

## Habilitar la comunicación entre redes superpuestas
<a name="private-nat-overlapping-networks"></a>

Puede utilizar una puerta de enlace NAT privada para habilitar la comunicación entre redes incluso si tienen rangos de CIDR superpuestos. Por ejemplo, supongamos que las instancias de la VPC A necesitan acceder a los servicios proporcionados por las instancias de la VPC B.

![\[Dos VPC con rangos CIDR superpuestos.\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/overlapping-networks.png)


**Topics**
+ [Descripción general](#private-nat-overlapping-networks-overview)
+ [Recursos](#private-nat-overlapping-networks-resources)
+ [Enrutamiento](#private-nat-overlapping-networks-routing)

### Descripción general
<a name="private-nat-overlapping-networks-overview"></a>

El siguiente diagrama muestra los componentes clave de la configuración de este escenario. En primer lugar, su equipo de administración de IP determina qué rangos de direcciones pueden superponerse (rangos de direcciones no enrutables) y cuáles no (rangos de direcciones enrutables). El equipo de administración de IP asigna rangos de direcciones desde el grupo de rangos de direcciones enrutables a proyectos por petición.

Cada VPC tiene su rango de direcciones IP original, que no es enrutable, más el rango de direcciones IP enrutable que le ha asignado el equipo de administración de IP. La VPC A tiene una subred de su rango enrutable con una puerta de enlace NAT privada. La puerta de enlace NAT privada obtiene su dirección IP de su subred. La VPC B tiene una subred de su rango enrutable con un Application Load Balancer. El Application Load Balancer obtiene las direcciones IP de sus subredes.

El tráfico de una instancia de la subred no enrutable de la VPC A destinada a las instancias de la subred no enrutable de la VPC B se envía a través de la puerta de enlace NAT privada y, a continuación, se dirige a la puerta de enlace de tránsito. La puerta de enlace de tránsito envía el tráfico al equilibrador de carga de aplicación, que dirige el tráfico a una de las instancias de destino de la subred no enrutable de la VPC B. Este tráfico de puerta de enlace de tráfico al equilibrador de carga de aplicación tiene la dirección IP de origen de la puerta de enlace NAT privada. Por lo tanto, el tráfico de respuesta del equilibrador de carga utiliza la dirección de la puerta de enlace NAT privada como destino. El tráfico de respuesta se envía a la puerta de enlace de tránsito y, luego, se dirige a la puerta de enlace NAT privada, lo que traduce el destino a la instancia de la subred no enrutable de la VPC A.

![\[Una VPC con una puerta de enlace NAT privada y una puerta de enlace de tránsito para la comunicación con un CIDR superpuesto\]](http://docs.aws.amazon.com/es_es/vpc/latest/userguide/images/private-nat-overlapping-networks.png)


### Recursos
<a name="private-nat-overlapping-networks-resources"></a>

Cree o actualice recursos de la siguiente manera:
+ Asocie los rangos de direcciones IP enrutables asignados a sus respectivas VPC.
+ Cree una subred en la VPC A a partir de su rango de direcciones IP enrutable y cree una puerta de enlace NAT privada en esta nueva subred.
+ Cree una subred en la VPC B a partir de su rango de direcciones IP enrutable y cree un Application Load Balancer en esta nueva subred. Registre las instancias en la subred no enrutable con el grupo de destino del equilibrador de carga.
+ Cree una puerta de enlace de tránsito para conectar las VPC. Asegúrese de desactivar la propagación de rutas. Cuando adjunte cada VPC a la puerta de enlace de tránsito, utilice el rango de direcciones enrutables de la VPC.
+ Actualice la tabla de enrutamiento de la subred no enrutable de la VPC A para enviar todo el tráfico destinado al rango de direcciones enrutables de la VPC B hacia la puerta de enlace NAT privada. Actualice la tabla de enrutamiento de la subred enrutable de la VPC A para enviar todo el tráfico destinado al rango de direcciones enrutables de la VPC B hacia la puerta de enlace de tránsito.
+ Actualice la tabla de enrutamiento de la subred enrutable de la VPC B para enviar todo el tráfico destinado al rango de direcciones enrutables de la VPC A hacia la puerta de enlace de tránsito.

### Enrutamiento
<a name="private-nat-overlapping-networks-routing"></a>

La siguiente es la tabla de enrutamiento de la subred no enrutable de la VPC A.


| Destino | Objetivo | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.1.0/24 | local | 
| 100.64.2.0/24 | nat-gateway-id | 

La siguiente es la tabla de enrutamiento de la subred enrutable de la VPC A.


| Destino | Objetivo | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.1.0/24 | local | 
| 100.64.2.0/24 | transit-gateway-id | 

La siguiente es la tabla de enrutamiento de la subred no enrutable de la VPC B.


| Destino | Objetivo | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.2.0/24 | local | 

La siguiente es la tabla de enrutamiento de la subred enrutable de la VPC B.


| Destino | Objetivo | 
| --- | --- | 
| 10.0.0.0/16 | local | 
| 100.64.2.0/24 | local | 
| 100.64.1.0/24 | transit-gateway-id | 

A continuación, se muestra la tabla de enrutamiento de la puerta de enlace de tránsito.


| CIDR | Conexión | Tipo de ruta | 
| --- | --- | --- | 
| 100.64.1.0/24 | Vinculación de la VPC A | Estático | 
| 100.64.2.0/24 | Vinculación de la VPC B | Estático | 

# DNS64 y NAT64
<a name="nat-gateway-nat64-dns64"></a>

Una puerta de enlace NAT admite la traducción de direcciones de red de IPv6 a IPv4, y se la conoce popularmente como NAT64. La NAT64 ayuda a los recursos IPv6 de AWS a comunicarse con los recursos IPv4 en la misma VPC o en una VPC diferente, en la red en las instalaciones o en Internet. Puede utilizar NAT64 con DNS64 en Amazon Route 53 Resolver o puede utilizar su propio servidor DNS64.

**Topics**
+ [¿Qué es DNS64?](#nat-gateway-dns64-what-is)
+ [¿Qué es NAT64?](#nat-gateway-nat64-what-is)
+ [Configuración de DNS64 y NAT64](#nat-gateway-nat64-dns64-walkthrough)

## ¿Qué es DNS64?
<a name="nat-gateway-dns64-what-is"></a>

Las cargas de trabajo solo de IPv6 que se ejecutan en las VPC solo pueden enviar y recibir paquetes de red IPv6. Sin DNS64, una consulta de DNS para un servicio solo de IPv4 producirá una dirección de destino IPv4 en respuesta, y su servicio exclusivo IPv6 no puede comunicarse con esta. Para reducir esta brecha de comunicación, puede habilitar DNS64 para una subred y se aplicará a todos los recursos de AWS dentro de esa subred. Con DNS64, Amazon Route 53 Resolver busca el registro DNS del servicio para el cual realizó la consulta y realiza una de las siguientes acciones:
+ Si el registro contiene una dirección IPv6, devuelve el registro original y la conexión se establece sin ninguna traducción a través de IPv6.
+ Si no hay ninguna dirección IPv6 asociada al destino en el registro DNS, Route 53 Resolver sintetiza una al anteponer el conocido prefijo `/96`, definido en RFC6052 (`64:ff9b::/96`), a la dirección IPv4 del registro. El servicio solo de IPv6 envía paquetes de red a la dirección IPv6 sintetizada. A continuación, deberá dirigir este tráfico a través de la gateway NAT, que realiza la traducción necesaria del tráfico para permitir que los servicios IPv6 de su subred accedan a los servicios IPv4 fuera de esa subred.

Puede habilitar o desactivar DNS64 en una subred mediante [modify-subnet-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-subnet-attribute.html) con AWS CLI o la consola de la VPC al seleccionar una subred y elegir **Actions** > **Edit subnet settings** (Acciones > Editar configuración de subred).

## ¿Qué es NAT64?
<a name="nat-gateway-nat64-what-is"></a>

NAT64 permite que los servicios solo de IPv6 en Amazon VPC se comuniquen con servicios solo de IPv4 dentro de la misma VPC (en distintas subredes) o VPC conectadas, en sus redes en las instalaciones o en Internet.

NAT64 está disponible automáticamente en las gateways NAT actuales o en cualquier gateway NAT nueva que cree. No puede habilitar o desactivar esta característica. La subred en la que se encuentra la puerta de enlace NAT no necesita ser una subred de doble pila para que NAT64 funcione.

Después de habilitar DNS64, si el servicio solo de IPv6 envía paquetes de red a la dirección IPv6 sintetizada a través de la puerta de enlace NAT, ocurre lo siguiente:
+ Desde el prefijo `64:ff9b::/96`, la gateway NAT reconoce que el destino original es IPv4 y traduce los paquetes IPv6 a IPv4 al reemplazar:
  + La IPv6 fuente con su propia IP privada, que la gateway de Internet traduce a una dirección IP elástica.
  + La IPv6 de destino a IPv4 al truncar el prefijo `64:ff9b::/96`.
+ La gateway NAT envía los paquetes IPv4 traducidos al destino a través de la gateway de Internet, la gateway privada virtual o la gateway de tránsito e inicia una conexión.
+ El host solo de IPv4 envía paquetes de respuesta IPv4. Una vez que se haya establecido una conexión, la puerta de enlace NAT acepta los paquetes IPv4 de respuesta de los hosts externos.
+ Los paquetes IPv4 de respuesta están destinados a la gateway NAT, que recibe los paquetes y revierte la traducción de NAT al reemplazar su IP (IP de destino) por la dirección IPv6 del host y anteponiendo nuevamente `64:ff9b::/96` en la dirección IPv4 fuente. A continuación, el paquete fluye hacia el host siguiendo la ruta local.

De este modo, la puerta de enlace NAT permite que las cargas de trabajo solo de IPv6 de una subred se comuniquen con los servicios solo de IPv4 fuera de la subred.

## Configuración de DNS64 y NAT64
<a name="nat-gateway-nat64-dns64-walkthrough"></a>

Siga los pasos de esta sección para configurar DNS64 y NAT64 a fin de habilitar la comunicación con los servicios solo de IPv4.

**Topics**
+ [Habilitar la comunicación con los servicios solo de IPv4 en Internet con AWS CLI](#nat-gateway-nat64-dns64-walkthrough-internet)
+ [Habilitar la comunicación con los servicios solo de IPv4 en su entorno en las instalaciones](#nat-gateway-nat64-dns64-walkthrough-on-prem)

### Habilitar la comunicación con los servicios solo de IPv4 en Internet con AWS CLI
<a name="nat-gateway-nat64-dns64-walkthrough-internet"></a>

Si tiene una subred con cargas de trabajo solo de IPv6 que necesita comunicarse con servicios solo de IPv4 fuera de la subred, en este ejemplo se muestra cómo habilitar estos servicios solo de IPv6 para comunicarse con servicios solo de IPv4 en Internet.

Primero debe configurar una gateway NAT en una subred pública (independiente de la subred que contiene las cargas de trabajo solo de IPv6). Por ejemplo, la subred que contiene la puerta de enlace NAT debe tener una ruta `0.0.0.0/0` con dirección a la puerta de enlace de Internet.

Siga estos pasos para permitir que estos servicios solo de IPv6 se conecten con servicios solo de IPv4 en Internet:

1. Agregue las tres rutas siguientes a la tabla de enrutamiento de la subred que contiene las cargas de trabajo solo de IPv6:
   + Ruta IPv4 (si la hay) en dirección a la gateway NAT.
   + `64:ff9b::/96`Ruta en dirección a la gateway NAT. Esto permitirá que el tráfico de las cargas de trabajo solo de IPv6 destinadas a servicios solo de IPv4 se enrute a través de la gateway NAT.
   + Ruta IPv6 `::/0` en dirección a la gateway de Internet solo de salida (o gateway de Internet).

   Tenga en cuenta que dirigir `::/0` a la gateway de Internet permitirá que los hosts IPv6 externos (fuera de la VPC) inicien la conexión a través de IPv6.

   

   ```
   aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block
   0.0.0.0/0 --nat-gateway-id nat-05dba92075d71c408
   ```

   

   ```
   aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
   64:ff9b::/96 --nat-gateway-id nat-05dba92075d71c408
   ```

   

   ```
   aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
   ::/0 --egress-only-internet-gateway-id eigw-c0a643a9
   ```

1. Habilite la función de DNS64 en la subred que contiene las cargas de trabajo solo de IPv6.

   ```
   aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d --enable-dns64
   ```

Ahora, los recursos de su subred privada pueden establecer conexiones con estado con servicios IPv4 e IPv6 en Internet. Configure el grupo de seguridad y las NACL de manera apropiada para permitir el tráfico de salida e entrada a `64:ff9b::/96`.

### Habilitar la comunicación con los servicios solo de IPv4 en su entorno en las instalaciones
<a name="nat-gateway-nat64-dns64-walkthrough-on-prem"></a>

Amazon Route 53 Resolver le permite reenviar consultas de DNS desde la VPC a una red en las instalaciones y viceversa. Para hacerlo, siga estos pasos:
+ Cree un punto de enlace de salida de Route 53 Resolver en una VPC y asígnelo a las direcciones IPv4 desde las que desea que Route 53 Resolver reenvíe las consultas. Para su solucionador de DNS en las instalaciones, estas son las direcciones IP desde las que se originan las consultas de DNS y, por lo tanto, deben ser direcciones IPv4.
+ Cree una o más reglas que especifiquen los nombres de dominio de las consultas de DNS que desea que Route 53 Resolver reenvíe a los solucionadores en las instalaciones. También debe especificar las direcciones IPv4 de los solucionadores en las instalaciones.
+ Ahora que ha configurado un punto de enlace de salida de Route 53 Resolver, debe habilitar DNS64 en la subred que contiene sus cargas de trabajo solo de IPv6 y dirigir los datos destinados a la red en las instalaciones a través de una gateway NAT.

Cómo funciona DNS64 para destinos solo de IPv4 en redes en las instalaciones:

1. Asigne una dirección IPv4 al punto de enlace de salida de Route 53 Resolver de la VPC.

1. La consulta de DNS de su servicio IPv6 va a Route 53 Resolver a través de IPv6. Route 53 Resolver coteja la consulta con la regla de reenvío y obtiene una dirección IPv4 para el solucionador en las instalaciones.

1. Route 53 Resolver convierte el paquete de consulta de IPv6 a IPv4 y lo reenvía al punto de enlace de salida. Cada dirección IP del punto de enlace representa una ENI que reenvía la solicitud a la dirección IPv4 en las instalaciones de su solucionador DNS.

1. El solucionador en las instalaciones envía el paquete de respuesta a través de IPv4 nuevamente a través del punto de enlace de salida a Route 53 Resolver.

1. Suponiendo que la consulta se realizó desde una subred habilitada para DNS64, Route 53 Resolver realiza dos cosas:

   1. Verifica el contenido del paquete de respuestas. Si hay una dirección IPv6 en el registro, mantiene el contenido tal cual, pero si contiene solo un registro IPv4. Sintetiza también un registro IPv6 al anteponer `64:ff9b::/96` a la dirección IPv4.

   1. Vuelve a empaquetar el contenido y lo envía al servicio de la VPC a través de IPv6.

# Inspección del tráfico proveniente de las puertas de enlace NAT
<a name="nat-gateway-inspect-traffic"></a>

Puede asociar un proxy de Network Firewall a la puerta de enlace NAT para inspeccionar y filtrar el tráfico que pasa por la puerta de enlace NAT. Este control de seguridad permite evitar filtraciones de datos fuera del perímetro de confianza y bloquea cualquier respuesta entrante no deseada.

## Funcionamiento
<a name="nat-gateway-proxy-how-it-works"></a>

Al crear un proxy de Network Firewall, es obligatorio seleccionar una puerta de enlace NAT existente con la que asociar el proxy. Una vez creado, el proxy:
+ El proxy incluye un nombre de dominio completo y es necesario configurar las aplicaciones para que envíen las solicitudes HTTP y HTTPS CONNECT al proxy. El proxy filtra primero el nombre de dominio de la solicitud CONNECT en función de las reglas definidas por el cliente. Si las reglas lo permiten, el proxy realiza a continuación una consulta de DNS para obtener la dirección IP del dominio. A continuación, establece una conexión TCP con el destino final. En función de si el descifrado de TLS está habilitado, el proxy filtra a continuación la conexión TLS según la dirección IP y los atributos del encabezado, y solo establece una conexión TLS con el destino si la dirección IP y los atributos del encabezado (incluida la acción del encabezado y la ruta de la URL) están permitidos por las políticas.
+ El dispositivo inspecciona y filtra el tráfico.
+ El tráfico permitido continúa hacia el destino, ya sea en Internet, en un entorno en las instalaciones o en otra VPC.

## Asociación de dispositivos
<a name="nat-gateway-attaching-appliances"></a>

Los dispositivos se asocian a las puertas de enlace NAT a través de AWS Network Firewall. Para conocer los pasos necesarios para crear y asociar dispositivos, consulte la [Guía para desarrolladores del proxy de Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/network-firewall-proxy-developer-guide.html).

## Visualización de dispositivos asociados
<a name="nat-gateway-viewing-attached-appliances"></a>

Para ver los dispositivos asociados a la puerta de enlace NAT, utilice el comando [describe-nat-gateways](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-nat-gateways.html):

```
aws ec2 describe-nat-gateways --nat-gateway-ids nat-1234567890abcdef0
```

La respuesta incluye un campo `AttachedAppliances` que muestra lo siguiente:
+ **Type**: el tipo de dispositivo (por ejemplo, `network-firewall-proxy`)
+ **ApplianceArn**: el ARN del dispositivo asociado
+ **AttachmentState**: estado de asociación actual (`attached`, `detaching`, `detached`, `attach_failed` y `detach_failed`)
+ **ModificationState**: estado de modificación actual (`modifying`, `completed` y `failed`)
+ **VpcEndpointId**: el ID de punto de conexión de VPC que se utiliza para enrutar el tráfico desde las VPC de aplicaciones hacia el proxy para su inspección y filtrado
+ **FailureCode**: el código de error en caso de que la operación de asociación o modificación del dispositivo haya fallado
+ **FailureMessage**: un mensaje descriptivo que explica el error en caso de que la operación de asociación o modificación del dispositivo haya fallado

# Monitorear las puertas de enlace NAT mediante Amazon CloudWatch
<a name="vpc-nat-gateway-cloudwatch"></a>

Puede monitorear la gateway NAT con CloudWatch, que recopila información de la gateway NAT y crea métricas legibles casi en tiempo real. Puede utilizar esta información para monitorizar la gateway NAT y solucionar sus problemas. Estas métricas brindan información sobre el estado y el rendimiento de su puerta de enlace NAT, lo que da lugar a una supervisión de cerca de sus operaciones y una rápida solución de problemas.

Las métricas de la puerta de enlace de NAT que recopila CloudWatch incluye puntos de datos como los bytes procesados, la cantidad de paquetes, la cantidad de conexiones y las tasas de errores. Con esto, puede comprender el tráfico que fluye por la puerta de enlace de NAT e identificar cualquier anormalidad o cuello de botella. CloudWatch envía estos datos métricos en intervalos de un minuto, lo que brinda un vista granular y actualizada del comportamiento de su puerta de enlace de NAT.

Además, CloudWatch retiene los datos métricos de esta puerta de enlace de NAT por un período prolongado de 15 meses, lo que permite analizar las tendencias y los patrones a lo largo del tiempo. Estos datos históricos se pueden utilizar para planificar la capacidad, optimizar el rendimiento y comprender la evolución a largo plazo del uso de su puerta de enlace de NAT.

Puede utilizar estas capacidades potentes de supervisión para crear alarmas y paneles personalizados de CloudWatch configurados según sus necesidades específicas. Por ejemplo, puede configurar alertas que notifiquen cada vez que la transferencia de datos salientes de su puerta de enlace de NAT supere un determinado umbral, lo que permitirá el abordaje proactivo de las posibles limitaciones del ancho de banda.

Para obtener más información sobre precios, consulte [Precios de Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/).

**Topics**
+ [Métricas y dimensiones de gateway NAT](metrics-dimensions-nat-gateway.md)
+ [Consultar las métricas de CloudWatch para las gateways NAT](viewing-metrics.md)
+ [Crear alarmas de CloudWatch para monitorear una gateway NAT](creating-alarms-nat-gateway.md)

# Métricas y dimensiones de gateway NAT
<a name="metrics-dimensions-nat-gateway"></a>

Las siguientes métricas están disponibles para las gateways de NAT. La columna de descripción incluye una descripción de cada métrica, así como las [unidades](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Unit) y las [estadísticas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Statistics-definitions.html).


| Métrica | Descripción | 
| --- | --- | 
| ActiveConnectionCount |  Número total de conexiones TCP simultáneas activas a través de la gateway NAT. Si el valor es cero, indica que no hay conexiones activas a través de la gateway NAT. Unidades: recuento Estadísticas: la estadística más útil es `Max`.  | 
| BytesInFromDestination |  Número de bytes recibidos por la gateway NAT desde el destino. Si el valor de `BytesOutToSource` es menor que el valor de `BytesInFromDestination`, puede que se estén perdiendo datos durante el procesamiento de la gateway NAT o que la gateway NAT esté bloqueando el tráfico. Unidades: bytes Estadísticas: la estadística más útil es `Sum`.  | 
| BytesInFromSource |  Número de bytes recibidos por la gateway NAT desde los clientes de la VPC. Si el valor de `BytesOutToDestination` es menor que el valor de `BytesInFromSource`, puede que se estén perdiendo datos durante el procesamiento de la gateway NAT. Unidades: bytes Estadísticas: la estadística más útil es `Sum`.  | 
| BytesOutToDestination |  Número de bytes enviados a través de la gateway NAT al destino. Un valor mayor que cero indica que hay tráfico en dirección a Internet desde los clientes que se encuentran detrás de la gateway NAT. Si el valor de `BytesOutToDestination` es menor que el valor de `BytesInFromSource`, puede que se estén perdiendo datos durante el procesamiento de la gateway NAT. Unidad: bytes Estadísticas: la estadística más útil es `Sum`.  | 
| BytesOutToSource |  Número de bytes enviados a través de la gateway NAT a los clientes de la VPC. Un valor mayor que cero indica que hay tráfico procedente de Internet a los clientes que se encuentran detrás de la gateway NAT. Si el valor de `BytesOutToSource` es menor que el valor de `BytesInFromDestination`, puede que se estén perdiendo datos durante el procesamiento de la gateway NAT o que la gateway NAT esté bloqueando el tráfico. Unidades: bytes Estadísticas: la estadística más útil es `Sum`.  | 
| ConnectionAttemptCount |  Número de intentos de conexión realizados a través de la gateway NAT. Esto incluye solo el SYN inicial. En algunos casos, `ConnectionAttemptCount` puede ser inferior a `ConnectionEstablishedCount` debido a la retransmisión del SYN. Si el valor de `ConnectionEstablishedCount` es menor que el valor de `ConnectionAttemptCount`, esto indica que los clientes que se encuentran detrás de la gateway NAT han intentado establecer nuevas conexiones, pero que no han obtenido respuesta. Unidad: recuento Estadísticas: la estadística más útil es `Sum`.  | 
| ConnectionEstablishedCount |  Número de conexiones establecidas a través de la gateway NAT. Esto incluye SYN y retransmisiones de SYN. Si el valor de `ConnectionEstablishedCount` es menor que el valor de `ConnectionAttemptCount`, esto indica que los clientes que se encuentran detrás de la gateway NAT han intentado establecer nuevas conexiones, pero que no han obtenido respuesta. Unidad: recuento Estadísticas: la estadística más útil es `Sum`.  | 
| ErrorPortAllocation |  Número de veces que la gateway NAT no pudo asignar un puerto de origen.  Un valor mayor que cero indica que hay demasiadas conexiones simultáneas abiertas a través de la gateway NAT. Unidades: recuento Estadísticas: la estadística más útil es `Sum`.  | 
| IdleTimeoutCount |  El número de conexiones que pasaron correctamente del estado Active al estado Idle. Una conexión con el estado Active pasa al estado Idle si no se cierra bien y no hay ninguna actividad en los últimos 350 segundos. Un valor mayor que cero indica que hay conexiones han entrado en el estado de inactividad. Si el valor de `IdleTimeoutCount` aumenta, podría indicar que los clientes que se encuentran detrás de la gateway NAT están reutilizando conexiones obsoletas.  Unidad: recuento Estadísticas: la estadística más útil es `Sum`.  | 
| PacketsDropCount |  Número de paquetes que la gateway NAT ha perdido.  Para calcular el número de paquetes descartados como porcentaje del tráfico total de paquetes, utilice esta fórmula: `PacketsDropCount/(PacketsInFromSource+PacketsInFromDestination)*100`. Si este valor supera el 0,01 % del tráfico total en la puerta de enlace NAT, es posible que se produzca un problema con el servicio Amazon VPC. Utilice el [AWS panel de estado del servicio](https://status.aws.amazon.com/) para identificar cualquier problema con el servicio que pueda estar provocando que las puertas de enlace NAT descarten paquetes.  Unidades: recuento Estadísticas: la estadística más útil es `Sum`.  | 
| PacketsInFromDestination |  Número de paquetes recibidos por la gateway NAT desde el destino. Si el valor de `PacketsOutToSource` es menor que el valor de `PacketsInFromDestination`, puede que se estén perdiendo datos durante el procesamiento de la gateway NAT o que la gateway NAT esté bloqueando el tráfico. Unidad: recuento Estadísticas: la estadística más útil es `Sum`.  | 
| PacketsInFromSource |  Número de paquetes recibidos por la gateway NAT desde los clientes de la VPC. Si el valor de `PacketsOutToDestination` es menor que el valor de `PacketsInFromSource`, puede que se estén perdiendo datos durante el procesamiento de la gateway NAT. Unidad: recuento Estadísticas: la estadística más útil es `Sum`.  | 
| PacketsOutToDestination |  Número de paquetes enviados a través de la gateway NAT al destino. Un valor mayor que cero indica que hay tráfico en dirección a Internet desde los clientes que se encuentran detrás de la gateway NAT. Si el valor de `PacketsOutToDestination` es menor que el valor de `PacketsInFromSource`, puede que se estén perdiendo datos durante el procesamiento de la gateway NAT. Unidad: recuento Estadísticas: la estadística más útil es `Sum`.  | 
| PacketsOutToSource |  Número de paquetes enviados a través de la gateway NAT a los clientes de la VPC. Un valor mayor que cero indica que hay tráfico procedente de Internet a los clientes que se encuentran detrás de la gateway NAT. Si el valor de `PacketsOutToSource` es menor que el valor de `PacketsInFromDestination`, puede que se estén perdiendo datos durante el procesamiento de la gateway NAT o que la gateway NAT esté bloqueando el tráfico. Unidad: recuento Estadísticas: la estadística más útil es `Sum`.  | 
| PeakBytesPerSecond |  Esta métrica indica el promedio más alto de bytes por segundo de 10 segundos en un minuto determinado. Unidades: recuento Estadísticas: la estadística más útil es `Maximum`.  | 
| PeakPacketsPerSecond |  Esta métrica calcula la velocidad promedio de paquetes (paquetes procesados por segundo) cada 10 segundos durante 60 segundos y, a continuación, muestra la velocidad máxima de las seis velocidades (la velocidad promedio de paquetes más alta). Unidades: recuento Estadísticas: la estadística más útil es `Maximum`.  | 

Para filtrar los datos de las métricas, use la siguiente dimensión.


| Dimensión | Descripción | 
| --- | --- | 
| NatGatewayId | Filtra los datos de las métricas en función del ID de gateway NAT. | 

# Consultar las métricas de CloudWatch para las gateways NAT
<a name="viewing-metrics"></a>

Las métricas de la gateway NAT se envían a CloudWatch en intervalos de un minuto. Las métricas se agrupan primero por el espacio de nombres de servicio y, a continuación, por las posibles combinaciones de dimensiones dentro de cada espacio de nombres. Puede ver las métricas de las gateways NAT de la manera siguiente.

**Para ver las métricas a través de la consola de CloudWatch**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, seleccione **Metrics** (Métricas) y, a continuación, **All metrics** (Todas las métricas).

1. Elija el espacio de nombres de la métrica **NATGateway**.

1. Elija la dimensión de la métrica.

**Para ver métricas mediante la AWS CLI**  
En el símbolo del sistema, use el siguiente comando para enumerar las métricas que están disponibles para el servicio de gateway NAT.

```
aws cloudwatch list-metrics --namespace "AWS/NATGateway"
```

# Crear alarmas de CloudWatch para monitorear una gateway NAT
<a name="creating-alarms-nat-gateway"></a>

Puede crear una alarma de CloudWatch que envíe un mensaje de Amazon SNS cuando la alarma cambie de estado. Una alarma vigila una métrica determinada durante el periodo especificado. Envía una notificación a un tema de Amazon SNS en función del valor de la métrica con respecto a un umbral determinado durante varios periodos de tiempo. 

Por ejemplo, puede crear una alarma que monitorice el volumen de tráfico que entra o sale de la gateway NAT. La alarma siguiente monitoriza el volumen de tráfico saliente de los clientes de la VPC a través de la gateway NAT a Internet. Envía una notificación cuando el número de bytes alcanza un umbral de 5 000 000 durante un periodo de 15 minutos.

**Para crear una alarma para el tráfico saliente a través de la gateway NAT**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, elija **Alarms** (Alarmas) y, luego, **Create Alarm** (Crear alarma).

1. Elija **Create alarm** (Crear alarma).

1. Elija **Select Metric** (Seleccionar métrica).

1. Elija el espacio de nombres de la métrica **NATGateway** y, a continuación, elija una dimensión de métrica. Cuando llegue a las métricas, seleccione la casilla de verificación situada junto a la métrica **BytesOutToDestination** para la gateway NAT y, a continuación, elija **Select metric** (Seleccionar métrica).

1. Configure la alarma como se indica a continuación y, luego, elija **Next** (Siguiente):
   + En **Statistic** (Estadística), elija **Sum** (Suma).
   + En **Period** (Período), seleccione **15 minutes** (15 minutos).
   + En **Whenever** (Cada vez que), elija **Greater/Equal** (Mayor o igual) e ingrese `5000000` para el umbral.

1. Para **Notification** (Notificación), seleccione un tema de SNS existente o elija **Create new topic** (Crear tema nuevo) para crear uno nuevo. Elija **Next** (Siguiente).

1. Ingrese un nombre y una descripción para la alarma y, a continuación, elija **Next** (Siguiente).

1. Cuando haya terminado de configurar la alarma, elija **Create alarm** (Crear alarma).

Como un ejemplo adicional, puede crear una alarma que monitoree los errores de asignación de puertos y que envíe una notificación cuando el valor sea mayor que cero (0) durante tres períodos consecutivos de 5 minutos.

**Para crear una alarma para monitorizar los errores de asignación de puertos**

1. Abra la consola de CloudWatch en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. En el panel de navegación, elija **Alarms** (Alarmas) y, luego, **Create Alarm** (Crear alarma).

1. Elija **Create alarm** (Crear alarma).

1. Elija **Select Metric** (Seleccionar métrica).

1. Elija el espacio de nombres de la métrica **NATGateway** y, a continuación, elija una dimensión de métrica. Cuando llegue a las métricas, seleccione la casilla de verificación situada junto a la métrica **ErrorPortAllocation** para la gateway NAT y, a continuación, elija **Select metric** (Seleccionar métrica).

1. Configure la alarma como se indica a continuación y, luego, elija **Next** (Siguiente):
   + En **Statistic** (Estadística), elija **Maximum** (Máximo).
   + En **Period** (Período), elija **1 minutes** (5 minutos).
   + En **Whenever** (Cada vez que), elija **Greater** (Mayor) e ingrese 0 para el umbral.
   + En **Additional configuration** (Configuración adicional), **Datapoints to alarm** (Puntos de datos para alarma), ingrese 3.

1. Para **Notification** (Notificación), seleccione un tema de SNS existente o elija **Create new topic** (Crear tema nuevo) para crear uno nuevo. Elija **Next** (Siguiente).

1. Ingrese un nombre y una descripción para la alarma y, a continuación, elija **Next** (Siguiente).

1. Cuando haya terminado de configurar la alarma, elija **Create alarm** (Crear alarma).

Para obtener más información, consulte [Uso de las alarmas de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) en la *Guía del usuario de Amazon CloudWatch*.

# Solucionar problemas de las gateways NAT
<a name="nat-gateway-troubleshooting"></a>

Los siguientes temas le ayudarán a solucionar problemas comunes que podría encontrarse a la hora de crear o utilizar una gateway NAT.

**Topics**
+ [La creación de la gateway NAT produce un error](#nat-gateway-troubleshooting-failed)
+ [Cuota de gateways NAT](#nat-gateway-troubleshooting-quota)
+ [Cuota de direcciones IP elásticas](#nat-gateway-troubleshooting-limits)
+ [La zona de disponibilidad no es compatible](#nat-gateway-troubleshooting-unsupported-az)
+ [La gateway NAT ya no está visible](#nat-gateway-troubleshooting-gateway-removed)
+ [La gateway NAT no responde a un comando ping](#nat-gateway-troubleshooting-ping)
+ [Las instancias no pueden obtener acceso a Internet](#nat-gateway-troubleshooting-no-internet-connection)
+ [Error de la conexión TCP a un destino](#nat-gateway-troubleshooting-tcp-issues)
+ [La salida del comando traceroute no muestra la dirección IP privada de la gateway NAT](#nat-gateway-troubleshooting-traceroute)
+ [La conexión a Internet se pierde después de 350 segundos](#nat-gateway-troubleshooting-timeout)
+ [La conexión IPsec no se puede establecer](#nat-gateway-troubleshooting-ipsec)
+ [No se pueden iniciar más conexiones](#nat-gateway-troubleshooting-simultaneous-connections)

## La creación de la gateway NAT produce un error
<a name="nat-gateway-troubleshooting-failed"></a>

**Problema**  
Al crear una gateway NAT, esta cambia al estado `Failed`.

**nota**  
Una gateway NAT que falle se elimina automáticamente, normalmente en aproximadamente una hora.

**Causa**  
Se produjo un error al crear la gateway NAT. El mensaje de estado devuelto proporciona el motivo del error.

**Solución**  
Para ver el mensaje de error, abra la consola de Amazon VPC y, a continuación, elija **NAT Gateways (Gateways NAT)**. Seleccione el botón de opción de la gateway NAT y, a continuación, busque **State message (Mensaje de estado)** en la ficha **Details (Detalles)**.

En la siguiente tabla se muestran las causas posibles del error según lo que se indique en la consola de Amazon VPC. Tras aplicar los pasos recomendados como solución, puede intentar volver a crear una gateway NAT.


| Error mostrado | Causa | Solución | 
| --- | --- | --- | 
| Subnet has insufficient free addresses to create this NAT gateway | La subred que ha especificado no tiene ninguna dirección IP privada libre. La gateway NAT requiere una interfaz de red con una dirección IP privada asignada desde el rango de la subred.  | Vaya a la página Subnets (Subredes) de la consola de Amazon VPC para comprobar cuántas direcciones IP hay disponibles en la subred. Puede ver las Available IPs (IP disponibles) en el panel de detalles de su subred. Para crear direcciones IP libres en su subred, puede eliminar las interfaces de red que no utilice, o bien terminar las instancias que no necesite.  | 
| Network vpc-xxxxxxxx has no internet gateway attached | Debe haber una gateway NAT creada en una VPC con un puerto de enlace a Internet. | Cree un puerto de enlace a Internet y vincúlelo a su VPC. Para obtener más información, consulte [Adición de acceso a Internet en una subred](working-with-igw.md). | 
| Elastic IP address eipalloc-xxxxxxxx is already associated | La dirección IP elástica que ha especificado ya está asociada a otro recurso, y no se puede asociar a la gateway NAT. | Compruebe qué recurso está asociado a la dirección IP elástica. Vaya a la página Elastic IPs (Direcciones IP elásticas) de la consola de Amazon VPC y consulte los valores especificados para el ID de instancia o el ID de la interfaz de red. Si no necesita la dirección IP elástica para ese recurso, puede desasociarla. De forma alternativa, puede asignar una nueva dirección IP elástica a su cuenta. Para obtener más información, consulte [Introducción a las direcciones IP elásticas](WorkWithEIPs.md). | 

## Cuota de gateways NAT
<a name="nat-gateway-troubleshooting-quota"></a>

Cuando intenta crear una gateway NAT, obtiene el siguiente error.

```
Performing this operation would exceed the limit of 5 NAT gateways
```

**Causa**  
Ha alcanzado la cuota correspondiente al número de gateways NAT para esa zona de disponibilidad.

**Solución**

Si ha alcanzado esta cuota gateways NAT para su cuenta, puede hacer una de estas cosas:
+ Solicite un aumento de la [cuota de gateways NAT por zona de disponibilidad](https://console.aws.amazon.com/servicequotas/home/services/vpc/quotas/L-FE5A380F) mediante la consola de Service Quotas.
+ Compruebe el estado de su gateway NAT. Una gateway con los estados `Pending`, `Available` o `Deleting` cuenta al calcular la cuota. Si ha eliminado recientemente una gateway NAT, espere unos minutos para que el estado cambie de `Deleting` a `Deleted`. A continuación, intente crear una nueva gateway NAT.
+ Si no necesita que su gateway NAT esté en una zona de disponibilidad específica, intente crear una gateway NAT en una zona de disponibilidad en la que no haya alcanzado la cuota. 

Para obtener más información, consulte [Cuotas de Amazon VPC](amazon-vpc-limits.md).

## Cuota de direcciones IP elásticas
<a name="nat-gateway-troubleshooting-limits"></a>

**Problema**  
Cuando intenta asignar una dirección IP elástica a su gateway NAT pública, obtiene el siguiente error.

```
The maximum number of addresses has been reached.
```

**Causa**  
Ha alcanzado la cuota de direcciones IP elásticas para su cuenta en esa región.

**Solución**  
Si ha alcanzado la cuota de direcciones IP elásticas, puede anular la asociación de una dirección IP elástica de otro recurso. También puede solicitar un aumento de la [cuota de IP elásticas](https://console.aws.amazon.com/servicequotas/home/services/ec2/quotas/L-0263D0A3) mediante la consola de Service Quotas.

## La zona de disponibilidad no es compatible
<a name="nat-gateway-troubleshooting-unsupported-az"></a>

**Problema**  
Cuando intenta crear una gateway NAT, obtiene el siguiente mensaje de error: `NotAvailableInZone`.

**Causa**  
Es posible que intente crear la gateway NAT en una zona de disponibilidad limitada, es decir, una zona en la que la capacidad de ampliación esté restringida. 

**Solución**  
Las gateways NAT no son compatibles en estas zonas de disponibilidad. Puede crear una gateway NAT en una zona de disponibilidad diferente y usarla para subredes privadas en la zona limitada. También puede mover los recursos a una zona de disponibilidad no limitada para que sus recursos y su gateway NAT estén en la misma zona.

## La gateway NAT ya no está visible
<a name="nat-gateway-troubleshooting-gateway-removed"></a>

**Problema**  
Ha creado una gateway NAT, pero ya no está visible en la consola de Amazon VPC.

**Causa**  
Es posible que haya habido un error durante la creación de la gateway NAT y que haya fallado la creación. Una gateway NAT cuyo estado sea `Failed` está visible en la consola de Amazon VPC durante una hora aproximadamente. Después de una hora, se elimina automáticamente.

**Solución**  
Revise la información en [La creación de la gateway NAT produce un error](#nat-gateway-troubleshooting-failed) e intente crear una nueva gateway NAT.

## La gateway NAT no responde a un comando ping
<a name="nat-gateway-troubleshooting-ping"></a>

**Problema**  
Cuando intenta hacer ping a la dirección IP elástica de una gateway NAT o en la dirección IP privada desde Internet (por ejemplo, desde su equipo doméstico) o desde alguna instancia en su VPC, no obtiene ninguna respuesta. 

**Causa**  
Una gateway NAT solo pasa el tráfico desde una instancia de una subred privada a Internet.

**Solución**  
Para comprobar si su gateway NAT está funcionando, consulte [Prueba de la gateway NAT pública](nat-gateway-scenarios.md#public-nat-gateway-testing).

## Las instancias no pueden obtener acceso a Internet
<a name="nat-gateway-troubleshooting-no-internet-connection"></a>

**Problema**  
Ha creado una gateway NAT pública y ha seguido los pasos para probarla, pero el comando `ping` produce un error, o bien sus instancias de la subred privada no pueden acceder a Internet.

**Causas**  
Este problema podría deberse a una de las siguientes causas: 
+ La gateway NAT no está lista para dirigir tráfico.
+ Sus tablas de ruteo no se han configurado correctamente.
+ Sus grupos de seguridad o las ACL de red están bloqueando el tráfico entrante o saliente.
+ Está utilizando un protocolo no admitido.

**Solución**  
Compruebe la siguiente información:
+ Compruebe que la gateway NAT tiene el estado `Available`. En la consola de Amazon VPC, vaya a la página **Puertas de enlace NAT** y consulte la información de estado en el panel de detalles. Si la gateway NAT tiene un estado de error, puede que haya habido un error durante su creación. Para obtener más información, consulte [La creación de la gateway NAT produce un error](#nat-gateway-troubleshooting-failed).
+ Asegúrese de haber configurado las tablas de ruteo correctamente:
  + La gateway NAT debe estar en una subred pública con una tabla de ruteo que direccione el tráfico de Internet a un puerto de enlace a Internet.
  + Su instancia debe estar en una subred privada con una tabla de ruteo que direccione el tráfico de Internet a la gateway NAT.
  + Compruebe que no haya otras entradas de tabla de ruteo que dirijan todo o parte del tráfico de Internet a otro dispositivo en lugar de a la gateway NAT.
+ Asegúrese de que las reglas de su grupo de seguridad para su instancia privada permiten el tráfico de salida de Internet. Para que el comando `ping` funcione, las reglas también deben permitir el tráfico ICMP saliente.

   La gateway NAT permite por sí misma todo el tráfico de salida, y el tráfico recibido en respuesta a una solicitud saliente (por tanto, es con estado).
+ Asegúrese de que las ACL de red estén asociadas a la subred privada y de que las subredes públicas no tengan reglas que bloqueen el tráfico de entrada y salida de Internet. Para que el comando `ping` funcione, las reglas también deben permitir el tráfico ICMP entrante y saliente.

  Puede habilitar los logs de flujo para que le ayuden a diagnosticar las conexiones perdidas a causa de las reglas de grupos de seguridad o de ACL de red. Para obtener más información, consulte [Registro del tráfico de IP con registros de flujo de la VPC](flow-logs.md).
+ Si va a utilizar el comando `ping`, asegúrese de hacer ping a un host con ICMP habilitado. Si ICMP no se ha habilitado, no recibirá paquetes de respuesta. Para comprobar esto, ejecute el mismo comando `ping` desde el terminal de línea de comandos en su propio equipo. 
+ Asegúrese de que su instancia puede hacer ping a otros recursos, como, por ejemplo, otras instancias de la subred privada (suponiendo que las reglas de ese grupo de seguridad lo permitan).
+ Asegúrese de que su conexión esté utilizando únicamente un protocolo TCP, UDP o ICMP.

## Error de la conexión TCP a un destino
<a name="nat-gateway-troubleshooting-tcp-issues"></a>

**Problema**  
Algunas de sus conexiones TCP desde instancias de una subred privada a un destino específico a través de una gateway de NAT se realizan correctamente, pero otras producen errores o se agota el tiempo de espera.

**Causas**  
Este problema podría deberse a una de las siguientes causas:
+ El punto de enlace de destino responde con paquetes TCP fragmentados. Las gateways NAT no admiten la fragmentación de IP para TCP o ICMP. Para obtener más información, consulte [Comparar las puertas de enlace NAT con las instancias NAT](vpc-nat-comparison.md).
+ La opción `tcp_tw_recycle`, de la que se sabe que causa problemas cuando hay varias conexiones desde detrás de un dispositivo NAT, está habilitada en el servidor remoto.

**Soluciones**  
Haga lo siguiente para comprobar si el punto de enlace al que intenta conectarse está respondiendo con paquetes TCP fragmentados:

1. Utilizar una instancia en una subred pública con una dirección IP pública para desencadenar una respuesta lo suficientemente grande para provocar la fragmentación desde el punto de enlace específico.

1. Utilizar `tcpdump` para verificar que el punto de conexión esté enviando paquetes fragmentados.
**importante**  
Debe utilizar una instancia en una subred pública para realizar estas comprobaciones. No puede utilizar la instancia desde la que estaba fallando la conexión original ni una instancia en una subred privada detrás de una gateway NAT o una instancia NAT.

   Las herramientas de diagnóstico que envían o reciben grandes paquetes ICMP informarán de la pérdida de paquetes. Por ejemplo, el comando `ping -s 10000 example.com` no funciona tras una gateway NAT.

1. Si el punto de conexión está enviando paquetes TCP fragmentados, puede utilizar una instancia NAT en lugar de una gateway NAT.

Si tiene acceso al servidor remoto, haga lo siguiente para comprobar si la opción `tcp_tw_recycle` está habilitada:

1. Desde el servidor, ejecute el comando siguiente.

   ```
   cat /proc/sys/net/ipv4/tcp_tw_recycle
   ```

   Si el resultado es `1`, la opción `tcp_tw_recycle` está habilitada.

1. Si se ha habilitado `tcp_tw_recycle`, le recomendamos deshabilitarla. Si necesita reutilizar las conexiones, `tcp_tw_reuse` es una opción más segura.

Si no tiene acceso al servidor remoto, pruebe a deshabilitar temporalmente la opción `tcp_timestamps` en una instancia de la subred privada. A continuación, vuelva a conectarse al servidor remoto. Si la conexión se realiza correctamente, puede que el error anterior se deba a que la opción `tcp_tw_recycle` está habilitada en el servidor remoto. Si es posible, póngase en contacto con el propietario del servidor remoto para comprobar si esta opción está habilitada y solicitar que se deshabilite.

## La salida del comando traceroute no muestra la dirección IP privada de la gateway NAT
<a name="nat-gateway-troubleshooting-traceroute"></a>

**Problema**  
Su instancia puede obtener acceso a Internet, pero al ejecutar el comando `traceroute`, la salida no muestra la dirección IP privada de la gateway NAT. 

**Causa**  
Su instancia está obteniendo acceso a Internet mediante una gateway distinta, como una gateway de Internet.

**Solución**  
En la tabla de ruteo de la subred en la que se encuentra su instancia, compruebe la siguiente información:
+ Asegúrese de que hay una ruta que envía el tráfico de Internet a la gateway NAT. 
+ Asegúrese de que no hay una ruta más específica que esté enviando el tráfico de Internet a otros dispositivos, como una gateway privada virtual o un puerto de enlace a Internet. 

## La conexión a Internet se pierde después de 350 segundos
<a name="nat-gateway-troubleshooting-timeout"></a>

**Problema**  
Sus instancias pueden obtener acceso a Internet, pero la conexión se interrumpe transcurridos 350 segundos.

**Causa**  
Si una conexión que está utilizando una gateway NAT se queda inactiva durante 350 segundos o más, su tiempo de espera se agota.

Cuando el tiempo de espera de una conexión finaliza, una gateway NAT devuelve un paquete RST a los recursos situados detrás de la gateway NAT que intenten continuar la conexión (no envía un paquete FIN). 

**Solución**  
Para impedir que se pierda la conexión, puede iniciar más tráfico a través de esta. También puede habilitar conexiones keepalive de TCP en la instancia con un valor inferior a 350 segundos.

## La conexión IPsec no se puede establecer
<a name="nat-gateway-troubleshooting-ipsec"></a>

**Problema**  
No puede establecer una conexión IPsec a un destino.

**Causa**  
Las gateways NAT actualmente no admiten el protocolo IPsec.

**Solución**  
Puede usar NAT-Traversal (NAT-T) para encapsular el tráfico IPsec en UDP, que es un protocolo admitido para las gateways NAT. Asegúrese de probar la configuración de NAT-T e IPsec para verificar que el tráfico IPsec no se elimina.

## No se pueden iniciar más conexiones
<a name="nat-gateway-troubleshooting-simultaneous-connections"></a>

**Problema**  
Ya tiene conexiones a un destino a través de una puerta de enlace NAT, pero no puede establecer más.

**Causa**  
Puede que haya alcanzado el límite de conexiones simultáneas para una sola gateway NAT. Para obtener más información, consulte [Conceptos básicos de la gateway NAT](nat-gateway-basics.md). Si sus instancias de la subred privada crean un gran número de conexiones, puede que alcance este límite. 

**Solución**  
Realice una de las siguientes acciones:
+ Cree una gateway NAT por zona de disponibilidad y reparta sus clientes entre estas zonas.
+ Cree gateways NAT adicionales en la subred pública y divida sus clientes en varias subredes privadas, cada una con una ruta a una gateway NAT distinta.
+ Limite el número de conexiones que pueden crear sus clientes al destino.
+ Utilice la métrica [`IdleTimeoutCount`](vpc-nat-gateway-cloudwatch.md) en CloudWatch para monitorear los aumentos de las conexiones inactivas. Cierre las conexiones inactivas para liberar capacidad.
+ Cree una puerta de enlace NAT con varias direcciones IP o agregue direcciones IP secundarias a una puerta de enlace NAT existente. Cada dirección IPv4 nueva puede admitir hasta 55 000 conexiones simultáneas. Para obtener más información, consulte [Creación de una gateway NAT](nat-gateway-working-with.md#nat-gateway-creating) o [Edición de asociaciones de direcciones IP secundarias](nat-gateway-working-with.md#nat-gateway-edit-secondary).

# Precios de las puertas de enlace NAT
<a name="nat-gateway-pricing"></a>

Cuando aprovisione una puerta de enlace NAT, se le cobrará por cada hora que esté disponible y por cada gigabyte de datos que procese. Para obtener más información, consulte [Precios de Amazon VPC](https://aws.amazon.com/vpc/pricing/).

Las siguientes estrategias pueden servir de ayuda para reducir los cargos por transferencia de datos de su gateway NAT:
+ Si sus recursos de AWS envían o reciben un volumen significativo de tráfico entre las zonas de disponibilidad, asegúrese de que los recursos se encuentran en la misma zona de disponibilidad que la puerta de enlace NAT. También puede crear una puerta de enlace NAT en cada zona de disponibilidad con recursos.
+ Si la mayor parte del tráfico que fluye a través de la gateway NAT se dirige a los servicios de AWS que admiten puntos de enlace de interfaz o puntos de enlace de gateway, considere la posibilidad de crear un punto de enlace de interfaz o un punto de enlace de gateway para estos servicios. Para obtener más información sobre el posible ahorro de costos, consulte [Precios de AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/).